Hitach Incident Response Team

 6月28日までに明らかになったぜい弱性情報のうち,気になるものを紹介します。それぞれ,ベンダーなどの情報を参考に対処してください。

■アドビShockwave Playerにぜい弱性(2009/06/23)

 米アドビ システムズのShockwave Player 11.5.0.596ならびにそれ以前のバージョンに,攻撃者の用意した任意のコードを実行されてしまうぜい弱性(CVE-2009-1860)が存在します。この問題は,Shockwave PlayerがアドビDirectorファイルを読み込む際のメモリー参照に関する問題で,米ティッピングポイントが立ち上げたぜい弱性報告プログラム「Zero Day Initiative」によって確認されました。Shockwave Playerを利用しているユーザーは,影響を受けるバージョンをアンインストールした後,11.5.0.600へのアップデートを実施してください。

 アドビでは,Webコンテンツの再生ツールとして,Flash PlayerとShockwave Playerを提供しています。アドビの提供情報によれば,Shockwave Playerは,より強力なコンテンツ再生ツールとなっています。詳細については,アドビのFAQ(Frequently Asked Questions,よくある質問)を参照してください。

 ここでは,「Flash PlayerあるいはShockwave Playerをインストールしているのか?」,「インストールしている場合には,そのバージョンは?」の確認方法を紹介します。ブラウザによってインストール方法や使用するプログラムが異なりますので注意してください。Firefoxを利用しているユーザーは,Internet ExplorerとFirefoxの両方について確認してください。

ステップ1:テスト・ページへのアクセスAdobe - Adobe Shockwave とFlash Playerのテストにアクセスしてください。

ステップ2:インストール有無の確認
Flash PlayerあるいはShockwave Playerをインストールしていない場合には,図1のようなページが表示されます。この場合,ここで確認作業は完了です。

図1●インストールしていない場合
Internet Explorer(左)とFirefox(右)
[画像のクリックで拡大表示]

 Flash PlayerあるいはShockwave Playerをインストールしている場合には,図2のようなページが表示されます。上段がShockwave Playerで左下の表示11.5r600は,バージョン11.5.0.600がインストールされていることを示しています。下段がFlash Playerで,Aboutタグを選択するとバージョン情報を表示できます。2009年6月末時点で最新版はバージョン10.0.22.87です。バージョン情報の表示が,11.5r600(Shockwave Player),10.0.22.87(Flash Player)に一致しない場合には,アップデートを実施してください。

図2●インストールしている場合
Internet Explorer(左)とFirefox(右)
[画像のクリックで拡大表示]

[参考情報]

■シスコPhysical Access Gatewayにぜい弱性(2009/06/24)

 物理アクセス制御ソリューションを提供する製品であるPhysical Access Gatewayに,ぜい弱性(CVE-2009-1163)が存在します。Physical Access Gatewayは,TCP通信の3ウェイ・ハンドシェーク処理が終了した後に,細工されたパケットをTCPポート番号443で受信した場合,サービス不能(DoS:denial of service)状態に陥る可能性があります。

[参考情報]

  • cisco-sa-20090624-gateway: Cisco Physical Access Gateway Denial of Service Vulnerability
  • この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

    日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら